MUSGO pequena fazenda de instalação e história de configuração de guerra

Nesta semana, Lutei um pouco com minha equipe para obter MOSS instalado em uma fazenda de dois servidores simples. Ter passado por isso, Eu tenho uma maior valorização para os tipos de relatório de problemas pessoas nos fóruns do MSDN e em outros lugares.

A configuração final da fazenda:

  • SQL/índice/Intranet WFE dentro do firewall.
  • WFE na DMZ.
  • Algum tipo de firewall entre a DMZ e servidor interno.

Antes de começarmos o projeto, Deixamos o cliente sabe quais portas precisavam ser aberta. Durante o dar e receber, e para trás sobre isso, Nós nunca explicitamente disse duas coisas importantes:

  1. Significa que você precisa de um certificado SSL.
  2. O servidor DMZ deve ser parte de um domínio.

Dia um, que apareceu para instalar MOSS e aprendemos que as contas de domínio para o banco de dados e MOSS não tivesse sido criadas. Despachar as coisas, Fomos em frente e tudo instalado com uma conta local no servidor da intranet.

Neste ponto, Descobrimos a confusão sobre o certificado SSL e, Infelizmente, Decidimos ter nosso cara infra-estrutura voltar ainda essa semana para continuar a instalar o servidor DMZ. Nesse meio tempo, Nós, arquitetos de solução mudou-se em frente com as coisas de negócios.

Um fim de semana passa e que o cliente obtém o certificado.

Nossa cara infra-estrutura aparece e descobre que o servidor DMZ não é associado a qualquer domínio (o domínio de intranet ou um domínio de perímetro com confiança limitada). Quase perdemos um 1/2 dia em que. Se nós não tivesse deixado o certificado SSL faltando nos atolar, nós teria descoberto isso antes. Oh bem….

Outro dia passa e as várias comissões de segurança, as partes interessadas e (Não é assim) espectadores inocentes todos concordam que é OK para adicionar o servidor DMZ com o domínio da intranet (Este é um POC, Afinal de contas, Não é uma solução de produção).

Tipo de infra-estrutura vem para embrulhar as coisas. Desta vez com êxito passar o o desafio de moderno-dia, carinhosamente conhecido como o "Assistente de configuração do SharePoint." Temos uma espiada na administração central e … Yee haw! … Servidor DMZ é listado na fazenda. Podemos olhar um pouco mais de perto e perceber que nós abriu o Champaign, um pouco de ácaro cedo. Serviços do WSS é preso em um "começando" estatuto.

Longa história curta, Acontece que nos esquecemos de mudar a identidade da conta do serviço através da administração central de conta local original para a nova conta de domínio. Fizemos isso, Re-executou o assistente de configuração e voila! Estávamos no negócio.

</fim>

Subscreva ao meu blog.

5 pensamentos "MUSGO pequena fazenda de instalação e história de configuração de guerra

  1. Cimares
    Está perfeitamente ok para ter seu SQL em uma Vlan/sub-rede diferente do que seu WFEs. Na verdade é recomendável, Afinal, como mencionado antes, especialista em segurança de que vai deixar você ficar SQL na dmz? A recomendação é que seu tráfego SQL não usa as mesmas placas de interface como o tráfego de usuário, no entanto, mesmo neste contexto pode pas através de um firewall para proteção adicional.
    A restrição relacionada com vários servidores Web em um ambiente de farm refere-se a se você estiver usando o balanceamento de carga de Microsoft, Então estas devem estar na mesma VLan.
    Resposta
  2. Paulo

    Eu quase posso bater seu problema de certificado SSL. Tínhamos tudo criado e estavam prontos para estender o aplicativo web com SSL (em seguida, redirecionar porta 80 no IIS). O administrador tinha um arquivo. cer pronto para ir. Mas nenhuma das opções ou loucas contorções para aplicá-la no IIS irá funcionar–o site sempre exibe uma página em branco, como se não existisse o conjunto de sites.

    Depois de muito bater de cabeças, aprendemos que isso foi causado pela solicitação cert não vêm esse servidor. O administrador simplesmente perguntou para um cert e foi enviado a chave resultante. Sem chave privada, o túnel SSL não poderia ser construído entre o navegador e o WFE. Nós desperdiçamos 1/2 dia em que.

    Resposta
  3. Christian escreveu:
    Muito interessante! Duvido muito que não deve ser suportado para hospedar em uma VLAN/DMZ e APP/SQL em outra VLAN/DMZ do WFE.
    Os artigos do TechNet sobre suporte a cenários de Extranet Não tem quaisquer reservas, de qualquer – but TechNet could be incorrect 🙂 None of our clients would allow their SQL Servers to sit on the same VLAN/DMZ as the WFE, Então espero sinceramente que a MS entendeu errado.
    Você pode elaborar sobre o que deve ser o problema com a configuração a cuspir? Motivos de desempenho apenas? Ou na verdade querem dizer que o Do WFE deve ser na mesma VLAN/DMZ? Isso faria mais sentido para mim.
    Sinceramente,
    Cristão
    Resposta
  4. Paul Galvin
    Essa é uma pergunta muito boa..
    Estamos acompanhando atentamente a documentação do MS, Então eu não posso imaginar como eles se recusaria a apoiá-lo. Que disse, Eu não sou uma pessoa de infra-estrutura, Então é possível que eu estou abusando de termos no meu post.
    Pelo que entendi, a abordagem correta é ter (pelo menos) dois domínios AD. Um domínio interno e outro na rede de perímetro. A rede de perímetro AD teria uma "limitada confiança" relação com o anúncio interno.
    But you probably already know all that 🙂
    Linha inferior, Eu não sei. Não podemos receber ou olhar diretamente para a Microsoft para obter orientação sobre este.
    –Paul G
    Resposta
  5. Tom Dietz
    Esta configuração é suportada? Na SharePoint Conference em Seattle em março, Eu estava conversando com alguns Engineers Microsoft e eles disseram que as configurações suportadas não permitem WFEs cruzar VLANs ou roteadores. Presume-se que desde o WFE é em uma DMZ, Ele está atravessando algum tipo de firewall/roteador ou está em sua própria VLAN.
    Então, basicamente o DB e servidores WFE/App, tudo tem que ser na mesma VLAN.
    Eles eram muito inflexíveis sobre isso–é na verdade um slide ' geográfica’ sessão de implantação se você tem acesso ao deck.
    Li os artigos do TechNet que ilustram as configurações de amostra que contradizem as suas declarações, Mas o pessoal de MS basicamente disse que o TechNet está errado.
    Resposta

Deixar uma resposta

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *